Ünlü TellYouThePass fidye yazılımı çetesi, sunucuların güvenliğini aşmak ve kötü amaçlı yüklerini dağıtmak için PHP’deki kritik bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanıyor.
CVE-2024-4577 olarak takip edilen kusur, kimliği doğrulanmamış saldırganların savunmasız PHP kurulumlarında rastgele kod çalıştırmasına olanak tanıyor.
Imperva araştırmacıları, TellYouThePass fidye yazılımı operatörlerinin, 10 Haziran 2024’te bir kavram kanıtlama (PoC) istismarının kamuya açıklanmasından yalnızca birkaç saat sonra bu yüksek önemdeki PHP hatasını kullanmaya başladığını keşfetti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Tehdit aktörleri, dosyaları şifrelemeden ve fidye ödemesi talep etmeden önce ilk erişim elde etmek ve kurbanların ağları arasında yanal olarak hareket etmek için açıkta kalan PHP sunucularını hedef alıyor.
Imperva araştırma ekibi, “CVE-2024-4577’nin TellYouThePass fidye yazılımı grubu tarafından hızlı bir şekilde silah haline getirilmesi, kuruluşların PHP dağıtımlarına gecikmeden yama yapma konusundaki kritik ihtiyacının altını çiziyor” diye uyardı. “Diğer tehdit aktörlerinin de bu istismarı saldırı zincirlerinin bir parçası olarak hızla benimsemelerini bekliyoruz.”
PHP geliştiricileri 8.2.7, 8.1.19 ve 7.4.33 sürümlerinde RCE güvenlik açığını gideren güvenlik güncellemeleri yayınladı. Sistem yöneticilerinin, güvenlik ihlali riskini azaltmak için PHP kurulumlarını en son yamalı sürümlere yükseltmeleri şiddetle tavsiye edilir.
TellYouThePass fidye yazılımı ilk olarak 2021’in sonlarında ortaya çıktı. Windows ve Linux sistemlerine bulaşmak için kötü şöhretli Log4Shell güvenlik açığından yararlandı.
2022’de kötü amaçlı yazılım Go programlama dilinde yeniden yazılarak operatörlerin macOS dahil birden fazla işletim sistemini daha kolay hedef alması sağlandı.
Daha yakın bir zamanda, Kasım 2023’te TellYouThePass’ın kurbanların verilerini ihlal etmek ve şifrelemek için Apache ActiveMQ mesaj komisyoncusu sunucularındaki kritik bir RCE kusurundan (CVE-2023-46604) yararlandığı gözlemlendi.
Arctic Wolf güvenlik araştırmacıları, TellYouThePass çetesini aynı ActiveMQ güvenlik açığından yararlanan HelloKitty fidye yazılımı saldırılarına bağlayan kanıtlar buldu.
TellYouThePass fidye yazılımı aktörü, bu son PHP istismar kampanyasıyla, yeni ortaya çıkan güvenlik açıklarını saldırı araç setine hızla dahil etme yeteneğini göstermeye devam ediyor.
Ortamlarında PHP çalıştıran kuruluşlar, bu gelişen fidye yazılımı tehditlerine karşı savunma yapmak için CVE-2024-4577 yamasını uygulamaya öncelik vermelidir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo